windows核心编程-线程可警告状态以及APC队列

最新推荐文章于 2025-05-07 10:52:13 发布
原创 最新推荐文章于 2025-05-07 10:52:13 发布 · 1.4k 阅读 · 2 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

本文介绍了Windows编程中的线程可警告状态,它允许线程进入Alterable状态以调用异步函数,提高系统效率。同时讲解了线程APC队列的使用,如何通过QueueUserAPC函数创建异步调用队列,并强调了在APC队列中函数执行的注意事项,避免影响主线程执行。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

一、线程可警告状态的真实含义

1、通过另一些方法让线程"暂停"(非SuspendThread方法,比如SleepEx,wait函数族等),并可以进入一种称之为

Alterable的状态(可警告状态)

2、这种状态本质上其实是高速系统调度程序:当前现成的函数调用栈以及对应的寄存器状态可以直接被用来调用

别的一些函数,一般这种函数都被称为异步函数

3、通常系统会用此线程环境(理解为函数调用器)来调用一些其他的回调函数(比如:IO完成通知,线程的异步调用队列等)

4、这样借用线程的好处是,系统不必为一些回调函数大费周折的创建一些新的专用线程,既可以达到节约系统资源的目的,

还可以充分发挥系统性能

5、通常异步函数最好能够很快执行完,不要做太耗时的操作,不然真正的线程函数需要执行时,会无法立即执行

参考视频:点击打开链接

二、线程APC队列

1、每个线程可以通过调用QueueUserAPC函数,明确的创建一个"异步调用队列"

2、其实就是为线程在线程函数调用栈之外再安排一组函数去执行

3、默认情况下,创建线程时不会创建这个队列,当调用该函数时,就会为这个线程创建这个队列

4、创建APC队列的函数,一般使用Wait函数族或者SleepEx函数等带有bAlertable参数的函数进入一种假"暂停"的状态

5、进入Alertable状态的线程,系统调度器会在线程函数本身处于"暂停"(等待状态)时,一次调用线程APC队列中的函数

6、注意APC队列中的函数不要执行事件过长,以免影响线程函数本身的执行

7、需要注意的是,有些函数虽然也会使线程进入等待状态,但不能进入可警告状态,也即不能调用异步的函数,比如:

GetMessage函数等(这些函数也没有bAlterable参数)

8、最后也需要注意的是,不要在APC函数中再调用让线程进入Alterable状态的API,这会引起一个递归,而导致线程栈溢出


/*
演示了ThreadAlerable如何让一个线程进入可警告状态并去执行一个APC队列中的函数
*/
#include<windows.h>
#include<tchar.h>
#include<strsafe.h>

#define GRS_USEPRINTF() TCHAR pBuf[1024]={}
#define GRS_PRINTF(...)\
	StringCchPrintf(pBuf, 1024, __VA_ARGS__); \
	WriteConsole(GetStdHandle(STD_OUTPUT_HANDLE), pBuf, lstrlen(pBuf), NULL, NULL);

void CALLBACK APCFunction(ULONG_PTR dwParam)
{
	int i = dwParam;
	GRS_USEPRINTF();
	GRS_PRINTF(_T("%d APC Function Run!\n"),i);
	Sleep(20);
}

int _tmain()
{
	//为主线程添加APC函数
	for (int i = 0; i < 100; i++)
	{
		QueueUserAPC(APCFunction,GetCurrentThread(),i);//为当前线程创建APCFunction的队列
	}
	//通过SleepEx进入"可警告状态",注释后,APC函数不会被调用
	//SleepEx使主线程进入等待,执行APC函数
	SleepEx(10000,TRUE);
	_tsystem(_T("PAUSE"));
	return 0;
}


[网络安全自学篇] 八十五.《Windows黑客编程技术详解》之注入技术详解(全局钩子、远线程钩子、突破Session 0注入、APC注入)
杨秀璋的专栏
06-25 2万+
从这篇文章开始,作者将带着大家来学习《Windows黑客编程技术详解》,其作者是甘迪文老师,推荐大家购买来学习。作者将采用实际编程和图文结合的方式进行分享,并且会进一步补充知识点,希望对您有所帮助。第二篇文章主要介绍4种常见的注入技术,包括全局钩子、远线程钩子、突破SESSION 0隔离的远线程注入、APC注入,案例包括键盘钩子、计算器远线程注入实现、APC注入等,希望对您有所帮助。
Windows黑客编程技术》—— 学习历程
A22B9S的博客
06-27 1095
第一章 开发环境 开发环境采用VS 2017,主要讲的一些配置方面的问题,比如控制台程序和DLL程序的编译设置(兼容性设置,运行库),MFC程序编译设置。 Debug模式和Release模式 Debug通常被称为调试版本,而Release通常称为发布版本。Debug模式和Release模式唯一的区别就是在VS开发环境里编译选项的区别。假如在Debug模式下运行正常,代码肯定是没问题的,而在Rel...
线程控制报警
08-06
实现功能:报警警铃和托盘图标闪烁,由于调用的sndPlaySound()函数与我自己定义的一个图标闪烁冲突,所以我使用多线程完成同时执行的效果;并且该软件还有读写XML文档的功能,当使用时将SysConfig.xml文件放到便一连接后的debug文件夹中,可以实现存储设置功能,自己做的小实验,希望对大家会有用!
【剑指Offer】如何处理 JDK 线程池内线程执行异常
Long-Tai
09-14 805
前言 上次写了 【剑指 Offer】如何解决 JDK 线程池中不超过最大线程数下快速消费任务 宽哥瞅了后没有被怼, 心想不枉我上周天看了一天的线程池源码啊 ???? 场景太过温馨, 必须记录下来 不过还好, 后面没有像往常一样被怼 ????️ 言归正传哈, 本篇 《如何处理 JDK 线程池内线程执行异常》 文章适合哪些小伙伴阅读呢 工作中使用线程池却不知异常的处理流程, 以及不知如何正确处理抛出的异常 带着问题看文章 1、线程池如何输出打印运行任务时抛出的异常? 2、线程池 execute()、sub
线程可提醒状态是什么?
赫的BLOG
08-21 1162
【传说】猪头三 16:40:10 就是 信号 【传说】猪头三 16:40:16 通知 的意思 【传说】猪头三 16:40:30 你理解成 通知,就OK 了
windows核心编程之使用线程APC回调安全退出多个等待线程
https://github.com/JelinYao
03-16 2739
前言 程序开发中经常遇到需要这些情况:辅助线程正在等待内核对象的触发,主线程需要强制终止辅助线程。我们常常做的就是使用:TerminateThread来强制终止线程。这样做当然是不太好的,强制终止线程后系统不会销毁此线程的堆栈,长久下去内存泄露问题就会很严重了。线程最安全的退出方式当然还是让它自己返回了。本文主要介绍windows核心编程中介绍的一种安全退出线程方式:使用可等待API等待内核对象
怎么根据线程池告警修改线程池参数
weixin_43757056的博客
01-02 1086
调参通知、队列容量告警、拒绝策略告警必然是需要的 核心微服务: 必须加上 调参通知、队列容量告警、拒绝策略告警 如果是对于设备时效性要求较高=>加上 任务排队超时告警、任务执行超时告警 如果是长任务=>加上 任务执行超时告警、线程池活跃度告警。(线程池告警)该线程池的任务队列告警阈值需要降低阈值优化,如果是核心业务,则需要减少降低限度(如5%),直至可以在运维发现问题后,有足够时间让开发排查;可有可无的微服务,要避免浪费资源,也需要线程池监控查看配置,此时线程池情况可以做一个较好的缩容的指标。
线程IO操作为什么要给线程插一个APC
最新发布
07-03
1.异步通知:APC提供了一种机制,使得当I/O操作完成时,系统可以将一个函数(即回调)插入到目标线程APC队列中,然后当该线程进入可警告状态alertablestate)时,就会执行这个回调。2.避免轮询:如果没有APC,...
Windows线程异步处理
03-14
- 绑定到特定线程队列,当线程进入**可警告等待状态**时执行回调 - 示例:异步I/O操作 ```c ReadFileEx(hFile, buffer, size, &CompletionRoutine, NULL); SleepEx(INFINITE, TRUE); // 进入可警告等待,...
易语言实现APC注入技术源码解析
4. 如果目标线程是可警告的,则系统会在适当的时候执行APC队列中的代码。 ### 易语言基础 易语言是一种中文编程语言,它的设计目标是尽可能地简化编程过程,使其更加直观和易于学习。易语言具有丰富的中文命令和...
APC年龄时期队列模型大论文介绍.pdf
06-14
APC年龄时期队列模型大论文介绍.pdf
window内核监控工具源代码
09-26
一:SSDT表的hook检测和恢复 ~!~~~ 二:IDT表的hook检测和恢复 ~~~~~~(idt多处理器的恢复没处理,自己机器是单核的,没得搞,不过多核的列举可以) 三:系统加载驱动模块的检测 通过使用一个全局hash表(以DRIVEROBJECT为对象)来使用以下的方法来存储得到的结果,最终显示出来 1.常规的ZwQuerySystemInformation来列举 2通过打开驱动对象目录来列举 3搜索内核空间匹配驱动的特征来列举(这个功能里面我自己的主机一运行就死机,别的机器都没事,手动设置热键来蓝屏都不行,没dump没法分析,哎,郁闷) 4从本驱动的Modulelist开始遍历来列举驱动 四:进程的列举和进程所加载的dll检测 采用以下方法来列举进程: 1ZwQuerySystemInformation参数SystemProcessesAndThreadsInformation来枚举 2进程EPROCESS 结构的Activelist遍历来枚举 3通过解析句柄表来枚举进程 4通过Handletablelisthead枚举进程 5进程创建时都会向csrss来注册,从这个进程里面句柄表来枚举进程 6通过自身进程的HANDLETABLE来枚举进程 7通过EPROCESS的SessionProcessLinks来枚举进程 8通过EPROCESS ---VM---WorkingSetExpansionLinks获取进程 9暴力搜索内存MmSystemRangeStart以上查找PROCESS对象 进程操作: 进程的唤醒和暂停通过获取PsSuspendProcess和PsResumeProcess来操作的 进程结束通过进程空间清0和插入apc。 采用以下方法查找DLL: 1遍历VAD来查找dll 2挂靠到对应的进程查找InLoadOrderLinks来枚举dll 3暴力搜索对应进程空间查找pe特征来枚举dll DLL的操作: Dll的卸载是通过MmUnmapViewOfSection和MmmapViewOfSection(从sdt表中相应函数搜索到的)来实现的(本来想直接清0 dll空间,有时行有时不行)(只要将这个进程的ntdll卸载了,进程就结束了,一个好的杀进程的办法撒,绿色环保无污染),注入dll使用的是插入apc实现的。(注入的dll必须是realse版的。Debug版会出现***错误,全局dll注入貌似也是)插入apc效果不是很好,要有线程有告警状态才执行。 五:线程信息的检测 遍历ThreadList来枚举线程 线程的暂停和唤醒都是通过反汇编获取PsResumeThread和PsSuspendThread直接从r3传来ETHREAD来操作的,通过插入APC来结束线程 六:shadow sdt表的hook检测与恢复 没有采用pdb来解决函数名问题,直接写入xp和03的shandow表函数名(主要是自己的网不稳定,连windbg有时都连不上微软) 七:系统所有的过滤驱动的检测 查看各device下是否挂接有驱动之类的,可直接卸载 八:系统常用回调历程的检测和清除 只检查了PsSetLoadImageNotifyRoutine PsSetCreateThreadNotifyRoutine PsSetCreateProcessNotifyRoutine CmRegisterCallback这几个,至于那个什么shutdown回调不知道是啥玩意,就没搞了,有知道的顺便告诉我下撒,谢谢 九:文件系统fat和ntfs的分发函数检测 直接反汇编fat和ntfs的DriverEntry得到对应的填充分发的偏移,然后和当前已经运行的文件系统的分发相比是否被hook,并附带恢复 十:文件查看功能 自己解析ntfs和fat的结构,来实现列举文件和直接写磁盘删除。附带有普通的删除和发生IRP来删除。不过这里面有点问题,ntfs删除有时把目录给搞坏了,大家凑合着吧, Ntfs网上删除这些操作的代码不多,就是sudami大大的利用ntfs-3g来实现的,看了下,太多了,充满了结构。然后自己对照着系统删除文件时目录的变化来自己实现的。只处理了$BITMAP对应的位清除,父目录的对应文件的索引项的覆盖,删除文件对应的filerecord清0. 另外偷懒时间都没处理,呵呵,y的,一个破时间都都搞好几个字节移来移去的。 十一:常用内核模块钩子的检测和恢复 这里只检测了主要的内核模块nkrnlpa**.exe的.win32k.sys,hal.dll,比对它们的原始文件从而查找eat inline hook,iat hook ,和inline hook。Inline是从TEXT段开始一段位置开始比较的。(有点慢貌似,等待显示扫描完成就好了) 十二:应用层进程所加载dll的钩子 应用层钩子检测和内核模块钩子检测原理一样,不过为了能读写别的进程的空间,并没有使用openprocess去打开进程,而是通过KiattachProcess挂靠到当前进程,然后通过在r0直接读写进程空间的。
内核篇-----APC队列介绍
qq_45806710的博客
02-08 1852
APC队列 kd> dt _KAPC nt!_KAPC +0x000 Type : Int2B //APC类型为0x12 +0x002 Size : Int2B //大小为0x30 +0x004 Spare0 : Uint4B +0x008 Thread : Ptr32 _KTHREAD//目标进程 +0x00c ApcListEntry : _LIST_ENTRY /
Windows APC学习笔记(一)—— APC的本质&备用APC队列
lzyddf的博客
01-12 3426
Windows APC机制学习笔记(一)—— APC的本质前言基础知识APCAPC队列APC结构总结分析 KiServiceExit 前言 一、学习自滴水编程达人中级班课程,官网:https://bcdaren.com 二、海东老师牛逼! 基础知识 线程是不能被“杀掉”、“挂起”、“恢复”的,线程在执行的时候自己占据着CPU,别人怎么可能控制它呢? 举个极端的例子:如果不调用API,屏蔽中断...
初识APC机制&实现APC注入
dreamer292的博客
09-22 1911
其实就是一种骚姿势进行的DLL注入,而且动静比之前的小,又已经在运行的线程来回调插入到APC队列中的恶意DLL。
关于APC机制
4SecNet团队专栏
03-12 1296
在病毒、逆向中,关于APC最常见的应用就是APC注入的使用了,但是随着随APC的深入了解,发现不管是在内核状态进行APC注入的操作,还是在用户空间执行APC注入的操作。虽然调用的API不同,但是核心内容是不变的,就是往APC队列中插入回调函数,但是一直对于这个回调函数什么时候执行,是怎么执行的很费解.看了毛教授的文章《WindowsAPC机制》受益匪浅,总结一点自己关于APC的思路: 之前在分析rootkit的时候,有注意到关于内核中文件的读写函数的API调用中存在APCRoutine的参数设定,内核文件
APC机制详解
鬼手的博客
02-15 7724
文章目录APC的本质APC队列APC结构APC相关函数KiServiceExitKiDeliveApc备用APC队列ApcState的含义挂靠环境下的ApcState的含义其他APC相关成员ApcStatePointerApcStateIndexApcStatePointer与ApcStateIndex组合寻址ApcQueueableAPC挂入过程KAPC结构挂入流程KeInitializeApc...
内核级APC的机制与影响
weixin_28746457的博客
05-07 340
本文深入探讨了Windows内核中异步过程调用(APC)的工作机制,包括如何通过不同机制禁用APC,以及APC在内核和用户模式下的不同行为。文章详细解释了特殊内核APC和普通用户APC的执行流程,并通过代码和系统调用的分析,揭示了APC在系统调度和定时器处理中的作用。
Windows核心编程》中文版PDF全集下载
资源摘要信息: "Windows核心编程"是一本专注于Windows操作系统底层技术的编程指南...综上所述,"Windows核心编程"是学习Windows系统编程不可或缺的参考资料,适合有一定编程基础和对系统编程有深入研究需求的开发者。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值